今回のパッチリリースを予告するマイクロソフトのWebサイト

[画像のクリックで拡大表示]

　マイクロソフトは2008年12月17日、Internet Explorer（IE）の脆弱（ぜいじゃく）性を解消するセキュリティ更新プログラム（修正パッチ）を、同年12月18日に公開することを明らかにした。既に悪用が確認されている危険な脆弱性なので、すべてのIEユーザーが適用するようにしたい。

　マイクロソフトでは、同社製品のセキュリティ情報とセキュリティ更新プログラムを、毎月第2火曜日（米国時間。日本時間ではその翌日）にまとめて公開している。毎月決められた日に公開することで、システム管理者やユーザーが、パッチ適用のスケジュールを立てやすくしている。

　しかしながら、同社が緊急を要すると判断した場合などには、定例日以外に公開することがある。過去に何度かあり、今回もその一例。

　今回提供予定の修正パッチは、IEのデータ処理に関する脆弱性を解消するもの。細工が施されたWebページにアクセスするだけで、悪質なプログラム（ウイルスなど）を実行される恐れがある。

　実際、2008年12月11日以降、この脆弱性を悪用する「ゼロデイ攻撃」が出現。悪用するためのコード（プログラム）も出回っている。また、有名なWebサイトが不正侵入されて、悪用コードを埋め込まれるケースが相次いでいる。

　そこでマイクロソフトでは、今回の脆弱性に関する情報（セキュリティアドバイザリ）を2008年12月11日にリリースし、脆弱性の存在や回避策を公表。以降、同情報を随時更新して、回避策に関する情報などを追記してきた。

　しかしながら、修正パッチは未公開。マイクロソフトでは、調査が完了次第、適切な措置（修正パッチの公開など）を講じるとしていた。そして今回、定例外で修正パッチを公開することになった。

　通常、セキュリティ情報の概要は、公開日の3営業日前（日本時間では公開日前週の金曜日）に公表されるが、今回は定例外ということで、公開日前日の公表となった。

　脆弱性の最大深刻度は、最悪の「緊急」。影響を受けるのは、現在サポート対象となっているすべてのIE（IE8ベータ2を含む）。当初はIE7しか影響を受けないとされていたが、その調査により、IE6やIE8ベータ2、IE 5.01／6 SP1（これらはWindows 2000のみ）も影響を受けることが明らかとなっているので要注意。

　脆弱性の詳細や修正パッチは2008年12月18日に公開する。パッチは、「Microsoft Update」やセキュリティ情報のページ（ダウンロードセンター）から適用可能。自動更新機能を有効にしていれば自動的に適用される。

• マイクロソフトの情報